Ho ba kotsing ho KVM ho lumella ho etsoa ha khoutu kantle ho sistimi ea baeti ho li-processor tsa AMD

Bafuputsi ba sehlopha sa Google Project Zero ba senotse matsatsi a 'maloa a fetileng ho poso ea blog hore ba supile ts'oaetso (CVE-2021-29657) ho hypervisor ea KVM (mohloli o bulehileng oa Linux-based hypervisor e tšehetsang bonono bo potlakileng ba hardware ho x86, ARM, PowerPC, le S / 390) hore e o lumella ho qoba ho itšehla thajana ha sistimi ea baeti 'me u tsamaise khoutu ea hau ka lehlakoreng la tikoloho ea moamoheli.

Poso e bolela hore bothata e hlahisa Linux kernel 5.10-rc1 ho v5.12-rc6, ke ho re e koahela lithollo feela tsa 5.10 le 5.11 (Boholo ba makala a tsitsitseng a kabo ha a angoa ke bothata.) Bothata bo teng mochini oa nested_svm_vmrun, o kentsoeng tšebetsong ka katoloso ea AMD SVM (Secure Virtual Machine) mme o lumella ho qalisoa ha lits'ebetso tsa baeti.

Ka poso ena ea blog, ke hlalosa ho ba kotsing ea khoutu e khethehileng ea KVM ea AMD mme ke tšohla hore na bothata bona bo ka fetoha phonyoha e phethahetseng ea mochini joang. Ho ea kamoo ke tsebang, ona ke mongolo oa pele oa sechaba oa khefu ea baeti ba KVM e sa itšetleheng ka litšitšili tse sebelisang likarolo tsa sebaka sa mosebelisi joalo ka QEMU.

Kokoana-hloko eo ho buisanoeng ka eona e fuoe CVE-2021-29657, e ama mefuta ea kernel v5.10-rc1 ho v5.12-rc6, 'me e patiloe ho elella bofelong ba Hlakubele 2021. Ha kokoanyana e se e sebelisoa hampe ho v5.10 mme e sibolloa likhoeling tse 5 hamorao, boholo ba lits'ebeletso tsa KVM ha lia lokela ho ameha. Ke ntse ke nahana hore bothata ke boithuto bo khahlisang mosebetsing o hlokahalang ho aha phallo e tsitsitseng ea moeti le moamoheli khahlanong le KVM mme ke ts'epa hore sengoloa sena se ka etsa nyeoe ea hore ho sekisetsa ha hypervisor ha se mathata a thuto feela.

Bafuputsi ba bolela hore bakeng sa ts'ebetsong e nepahetseng ea ts'ebetso ena, hypervisor e tlameha ho amohela litaelo tsohle tsa SVM matha ka mekhoa ea baeti, etsisa boitšoaro ba eona le ho hokahanya mmuso le lisebelisoa tsa thepa, e leng mosebetsi o thata haholo.

Kamora ho sekaseka ts'ebetsong e hlahisitsoeng ea KVM, bafuputsis e ile ea kopana le phoso e utloahalang e lumellang litaba tsa MSR (Ngoliso e ikhethileng ea Model) ea moamoheli susumetsoa ho tloha tsamaisong ea baeti, e ka sebelisoang ho etsa khoutu boemong ba moamoheli.

Haholo-holo, ho etsa ts'ebetso ea VMRUN ho tsoa ho moeti oa bobeli oa sehlaha (L2 e qalileng ho tsoa ho moeti e mong) ho lebisa mohala oa bobeli ho nested_svm_vmrun mme e senya sebopeho sa svm-> nested. .

Ka lebaka leo, ho hlaha boemo moo boemong ba baeti ba L2 ho ka khonehang ho lokolla memori mohahong oa svm-> nested.msrpm, o bolokang MSR bit, leha e ntse e tsoela pele ho sebelisoa, le ho fihlella MSR ea moamoheli tikoloho.

Ka mohlala, sena se bolela hore mohopolo oa moeti o ka hlahlojoa ka ho lahla mohopolo o abetsoeng ts'ebetso ea sebaka sa ona sa mosebelisi kapa hore meeli ea lisebelisoa bakeng sa nako le memori ea CPU e ka qobelloa habonolo. 

Ntle le moo, KVM e ka jarolla boholo ba mosebetsi o amanang le ho etsisa sesebelisoa ho karolo ea sebaka sa mosebelisi.

Bothata bo teng ho khoutu e sebelisitsoeng ho sistimi e nang le li-processor tsa AMD (module ea kvm-amd.ko) mme ha e hlahe ho li-processor tsa Intel.

 Kantle ho lisebelisoa tse mamelang ts'ebetso tse 'maloa tse amanang le tšebetso ea tšitiso, likhoutu tsohle tse rarahaneng tsa maemo a tlase tsa ho fana ka phihlello ea disk, marang-rang kapa GPU li ka sebelisoa sebakeng sa mosebelisi.  

Bafuputsi ntle le ho hlalosa bothata Ba boetse ba lokiselitse sebopeho se sebetsang sa tlhekefetso e lumellang ho tsamaisa khetla ea motso ho tsoa tikolohong ea moeti tikolohong e amohelang sistimi e nang le processor ea AMD Epyc 7351P le Linux 5.10 kernel.

Ho hlokomeloa hore enoa ke moeti oa pele oa ho amohela ts'oaetso ho hypervisor ea KVM ka boeona, e sa amaneng le litšitšili tse karolong ea sebaka sa mosebelisi joalo ka QEMU. Ho lokisoa ho ile ha amoheloa ka kernel qetellong ea Hlakubele.

Qetellong haeba u rata ho tseba haholoanyane ka eona mabapi le noutu eo, o ka hlahloba lintlha Ka sehokela se latelang.


Litaba tsa sengoloa sena li latela melao-motheo ea rona ea melao ea boitšoaro ea bongoli. Ho tlaleha phoso tlanya mona.

E-ba oa pele ho fana ka maikutlo

Siea maikutlo a hau

aterese ya hao ya imeile ke ke ho phatlalatswa. masimo a hlokahala a tšoailoe ka *

*

*

  1. E ikarabella bakeng sa data: Miguel Ángel Gatón
  2. Morero oa data: Laola SPAM, tsamaiso ea maikutlo.
  3. Molao: Tumello ea hau
  4. Puisano ea data: Lintlha li ke ke tsa tsebisoa batho ba boraro ntle le ka tlamo ea molao.
  5. Polokelo ea data: Database e hapiloeng ke Occentus Networks (EU)
  6. Litokelo: Nako efe kapa efe o ka fokotsa, oa hlaphoheloa mme oa hlakola tlhaiso-leseling ea hau.